Sechs Tage vor Weihnachten verkündete das US-Justizministerium lautstark einen Sieg im anhaltenden Kampf gegen die Geißel der Ransomware: Eine vom FBI geführte, internationale Operation hatte die berüchtigte Hackergruppe BlackCat oder AlphV ins Visier genommen und Entschlüsselungsschlüssel freigegeben, um die Lösegeldforderung zu vereiteln Versuche gegen Hunderte von Opfern und die Beschlagnahmung der dunklen Websites, die sie genutzt hatten, um sie zu bedrohen und zu erpressen. „Mit der Zerschlagung der BlackCat-Ransomware-Gruppe hat das Justizministerium die Hacker erneut gehackt“, erklärte die stellvertretende Generalstaatsanwältin Lisa Monaco ein Statement.
Zwei Monate und eine Woche später scheinen diese Hacker jedoch nicht besonders „gestört“ zu sein. In den letzten sieben Tagen hat BlackCat das Medizinunternehmen Change Healthcare als Geisel gehalten und dessen Software in Krankenhäusern und Apotheken in den gesamten Vereinigten Staaten lahmgelegt, was zu Verzögerungen bei der Verschreibung von Medikamenten für unzählige Patienten geführt hat.
Der anhaltende Ausfall bei Change Healthcare, zuerst berichtet Es handelt sich laut Reuters um einen BlackCat-Angriff und stellt einen besonders schlimmen Vorfall in der Ransomware-Epidemie dar, nicht nur aufgrund seiner Schwere, seiner Länge und der potenziellen Belastung für die Gesundheit der Opfer. Ransomware-Tracking-Analysten sagen, dass dies auch zeigt, dass selbst die Siege der Strafverfolgungsbehörden gegen Ransomware-Gruppen zunehmend kurzlebig zu sein scheinen, da die Hacker, die die Strafverfolgungsbehörden in sorgfältig koordinierten Razzien ins Visier nehmen, ihre Angriffe ungestraft einfach neu aufbauen und neu starten.
„Weil wir die Kernbetreiber in Russland oder in Gebieten, die nicht mit den Strafverfolgungsbehörden kooperieren, nicht verhaften können, können wir sie nicht stoppen“, sagt Allan Liska, ein auf Ransomware spezialisierter Forscher für das Cybersicherheitsunternehmen Recorded Future. Stattdessen, sagt Liska, mussten sich die Strafverfolgungsbehörden oft damit begnügen, monate- oder jahrelang damit zu verbringen, die Zerstörung von Infrastruktur oder Opfern von Hilfsgütern zu veranlassen, ohne jedoch Hand an die Täter zu legen. „Die Bedrohungsakteure müssen sich nur neu formieren, sich ein Wochenende lang betrinken und dann gleich wieder durchstarten“, sagt Liska.
In einer weiteren, neueren Razzia führte die britische National Crime Agency letzte Woche eine umfassende Löschaktion gegen die berüchtigte Ransomware-Gruppe Lockbit durch, indem sie ihre Infrastruktur kaperte, viele ihrer Kryptowährungs-Wallets beschlagnahmte, ihre dunklen Websites lahmlegte und sogar Informationen über sie beschaffte Betreiber und Partner. Doch weniger als eine Woche später hat Lockbit bereits eine neue dunkle Website gestartet, auf der es seine Opfer weiterhin erpresst und für jede einzelne Countdown-Timer anzeigt, die die verbleibenden Tage oder Stunden anzeigen, bevor die gestohlenen Daten online gestellt werden.
Das alles bedeutet jedoch nicht, dass die BlackCat- oder Lockbit-Operationen der Strafverfolgungsbehörden keine Wirkung hatten. BlackCat listete auf seiner Dark-Website für Februar bisher 28 Opfer auf, ein deutlicher Rückgang gegenüber den mehr als 60 Recorded Futures, die im Dezember vor der Abschaltung durch das FBI auf seiner Website gezählt wurden. (Change Healthcare ist derzeit nicht unter den aktuellen Opfern von BlackCat auf seiner Website aufgeführt, obwohl die Hacker angeblich machte sich den Angriff zu eigen, laut der Ransomware-Tracking-Site Breaches.net. Change Healthcare reagierte auch nicht auf die Bitte von WIRED um einen Kommentar zum Cyberangriff.)
Lockbit seinerseits verbirgt möglicherweise das Ausmaß seiner Störung hinter dem Trubel seiner neuen Leak-Site, argumentiert Brett Callow, ein Ransomware-Analyst beim Sicherheitsunternehmen Emsisoft. Er sagt, dass die Gruppe die Pleite der letzten Woche wahrscheinlich zum Teil herunterspielt, um nicht das Vertrauen ihrer Affiliate-Partner zu verlieren, der Hacker, die im Namen von Lockbit in die Netzwerke der Opfer eindringen, und sich möglicherweise durch die Möglichkeit abschrecken lassen, dass Lockbit von den Strafverfolgungsbehörden kompromittiert wurde.